Nutzung von Google Analytics wird schwieriger

Die deutschen Datenschutzbehörden haben bereits im Mai 2020 eine Stellungnahme zu Google Analytics veröffentlicht. Durch das Urteil des EuGH vom 16. Juli 2020 bekommt diese Stellungnahme eine besondere Brisanz. Die Nutzung von Google Analytics wird künftig erheblich schwieriger.

Google Analytics ist ein weitverbreitetes Tool für statistische Auswertungen von Websitebesuchen. Google Analytics ist kostenlos, einfach zu nutzen und sehr leistungsfähig. Daher ist es sehr beliebt und wird von vielen Websitebetreibern genutzt.

Wegen der weiten Verbreitung von Google Analytics hat die Konferenz der deutschen Datenschutzbehörden im Mai 2020 eine Stellungnahme zu den datenschutzrechtlichen Anforderungen an Google Analytics veröffentlicht.

Einwilligung der Websitebesucher

Voraussetzung für die Nutzung von Google Analytics ist, dass zuvor die Einwilligung  des Websitebesuchers in die Verwendung der Google Analytics Cookies eingeholt wird. Dies geschieht über einen Banner auf der Website, einen entsprechenden Bannertext und eine ausführliche Erklärung zur Verarbeitung der Daten durch Google Analytics. Diese Erklärung kann entweder in die Datenschutzerklärung oder in die Cookie Policy aufgenommen werden.

Dabei muss man technisch sicherstellen, dass die Cookies erst dann gesetzt und die Daten durch Google Analytics erst erhoben werden, nachdem die Einwilligung erteilt worden ist. In dem Zeitraum vor Erteilung der Einwilligung dürfen noch keine Daten erhoben werden. Das mindert den Wert der Analyse, da im Allgemeinen nur ein bestimmter Anteil der Websitebesucher der Cookie-Nutzung zustimmt. Die Erfahrung hat gezeigt, dass die Umstellung von einem Opt-out, bei dem der User der Cookie-Nutzung widersprechen musste, zu einem Opt-in, das eine aktive Einwilligung erfordert, die Zahl der erfassten Besuche mindert. Die Rechtslage ist aber eindeutig, ohne Einwilligung geht es nicht.

Daneben muss man auch beachten, dass die Einwilligung freiwillig ist. Der Besucher muss die Website auch besuchen können, wenn er die Einwilligung ablehnt. Die Einwilligung ist nicht nur freiwillig, sie ist auch frei widerruflich. Darüber muss man den Besucher der Website belehren und ihm auch ermöglichen, seine Einwilligung zu widerrufen. Dies kann dadurch geschehen, dass man in die Cookie Policy einen Button (Schaltfläche) aufnimmt. Der Websitebesucher kann dann durch diesen Button die Cookie-Einstellungen neu aufrufen und erteilte Einwilligungen zurücknehmen.

Diese eher technischen Anforderungen lassen sich mit einem gewissen Aufwand umsetzen. Schwieriger wird es bei anderen Anforderungen.

Verantwortlichkeit für die Datenverarbeitung

Die deutschen Datenschutzbehörden sind der Ansicht, dass die von Google Analytics erhobenen Daten personenbezogene Daten sind. Das hat weitreichende Konsequenzen.

Zum einen gehen die Datenschutzbehörden davon aus, dass Google die erhobenen Daten auch für eigene Zwecke nutzt. Sie sind daher der Auffassung, dass Google und der Websitebetreiber gemeinsam die Zwecke bestimmen und somit gemeinsam Verantwortliche sind. Das hat zur Folge, dass der Websitebetreiber mit Google einen Vertrag nach Art. 26 DSGVO über die Verteilung der Verantwortung abschließen muss. In der Praxis wird dies schwierig.

Google meint, dass keine gemeinsame Verantwortlichkeit vorliegt und bietet einen Vertrag über Auftragsverarbeitung sowie eine Vereinbarung an, wonach beide Parteien selbständig verantwortlich sind. Das widerspricht der Auffassung der Datenschutzbehörden. Wer diese Verträge schließt, riskiert einen Konflikt mit seiner Aufsichtsbehörde. Besser ist es, eine individuelle Vereinbarung nach Art. 26 DSGVO mit Google zu schließen.

Das Schrems II-Urteil des EuGH

Außerdem ist durch das Urteil des EuGH in Sachen Schrems II ein weiteres Problem entstanden. Der EuGH hat am 16. Juli 2020 in seinem Urteil Schrems II das US Privacy Shield für unwirksam erklärt. Das Privacy Shield war ein wichtiges Instrument, um Datenübertragungen in die USA zu ermöglichen. Dieses ist nunmehr weggefallen. Datenexporte in die USA sind künftig nur noch möglich, wenn die sogenannten Standardvertragsklauseln der EU zwischen dem Datenexporteur und dem Importeur vereinbart werden.

Das bedeutet, dass jeder Betreiber einer Website, die Google Analytics einsetzt, diese Standardvertragsklauseln mit Google vereinbaren muss. Google bietet im Rahmen des Vertrages über Auftragsverarbeitung Standardvertragsklauseln an. Dies sind aber die Standardvertragsklauseln für Auftragsverarbeiter. Da die deutschen Datenschutzbehörden Google als Verantwortlichen ansehen, nützen diese Klauseln nichts. Es müssen speziell die Standardvertragsklauseln vereinbart werden, die zwischen verantwortlichen Datenverarbeitern zu vereinbaren sind.

Der EuGH hat weiter klargestellt, dass der Verantwortliche sich nicht auf die bloßen Vertragsklauseln beschränken darf. Er muss vielmehr überprüfen, ob der Datenimporteur in seinem Heimatland die Daten auch entsprechend verarbeiten kann. Gerade für die USA ist das zweifellhaft, da nach der Rechtsprechung des EuGH die weitreichenden Datenerhebungen durch Geheimdienste gegen EU-Recht verstoßen.

Für ein Unternehmen mit Sitz in der EU ist es nicht einfach, Datenverarbeitungsmaßnahmen in den USA zu prüfen. Der erste Schritt besteht aber darin, seinem Vertragspartner eine Fragenliste zu senden und sich danach zu erkundigen, wie er mit den Daten umgeht und welche rechtlichen Zugriffsmöglichkeiten die Heimatbehörden haben. Vor einem Einsatz von Google Analytics ist es somit nötig, dass der Betreiber der Website an Google eine entsprechende Fragenliste sendet.

Ausblick

Der Einsatz von Google Analytics durch deutsche Websitebetreiber wird durch die neuen Anforderungen erheblich schwieriger. Es bleibt abzuwarten, wie Google auf die Herausforderungen reagiert und wann Google Lösungen anbietet, die die Anforderungen der Datenschutzbehörden und des EuGH erfüllen.

Der Websitebetreiber wird sich im eigenen Interesse an der Stellungnahme der Datenschutzbehörden und der Rechtsprechung des EuGH orientieren, denn diese sind eindeutig.

Eine Alternative besteht darin, Website Analytics von Anbietern aus Deutschland einzusetzen. Wenn der Anbieter auf eine Nutzung der Analytics Daten für eigene Zwecke verzichtet, spart man den Vertrag über gemeinsame Verantwortlichkeit. Da kein Datenexport stattfindet, braucht man auch hierfür keine Vorsorge zu treffen.

Arnd Böken, Rechtsanwalt und Notar
Berlin

Arnd Böken

Arnd Böken

ist Rechtsanwalt und Notar bei GvW Graf von Westphalen in Berlin. Er verfügt über langjährige Erfahrung im Bereich Informationstechnologie und Datenschutz. Arnd Böken berät Unternehmen zu Datenschutzprojekten, wie Datentransfer im internationalen Konzern, Datenschutzverträgen, Kundenbindungsprogrammen, Connected Car oder Compliance-Untersuchungen und bei der Einführung von IT-Anwendungen.